Librat amë si në pazar – digjitalizimi i të dhënave personale është bërë me dy skanerë, në dy kompjuterë të pambrojtur

Tre kompani për 1.7 milionë euro, mbi 1.5 milionë çertifikata të skanuara nga regjistrat e lindjeve, vdekjeve dhe martesave, vetëm me dy skanerë… Kështu ka shkuar procesi i digjitalizimit të regjistrave, për të cilin dy ditë më parë Komisioni Shtetëror për Parandalimin e Korrupsionit shprehu dyshime serioze – se rreziku nga keqpërdorimi i të dhënave personale të qytetarëve ka qenë tepër i madh, por edhe se ka dyshime për tregtimin e të dhënave personale, transmeton Portalb.mk.

“Aukta”, “Novatek Inv” dhe “Biditi SHPKNJP” janë tre kompanitë që deri më tani i kanë fituar tenderët për digjitalizimin e regjistrave. Kompania e parë, sipas dokumenteve nga Regjistri Qendror, tenderin e ka fituar në vitin 2020 për pothuajse 365 mijë euro, kompania e dytë në vitin 2021 – 480 mijë euro dhe e treta, vitin e kaluar – për një milion euro.

Kompania e parë – Aukta, është themeluar në vitin 2019, ndërsa kontratën me Drejtorinë për Udhëheqjen e Librave Amë (DULA) e ka nënshkruar në muajin mars të vitit 2020. Kompania duhej të skanonte 1.200.000 dokumente, ndërsa me kontratën merr përsipër të evidentojë 220.000 të dhëna. Kompania e dytë – Novatek Inv., kur fitoi tenderin kishte më pak se tre muaj që ekzistonte. Ajo përdor burime nga kompania e parë, Aukta, pasi sipas regjistrit kompania ka vetëm dy punonjës. Në kontratë thuhet se kompania duhet të skanojë 300.000 dhe të evidentojë 550.000 dokumente.

Meta.mk bisedoi me pronarin dhe drejtorin e Novatek Inv., Lirim Fetai, i cili mohon kategorikisht se gjatë kryerjes së shërbimeve të digjitalizimit nuk është respektuar e drejta për mbrojtjen e të dhënave personale.

“Është e vërtetë që kemi pasur dy punonjës, por na janë huazuar burime nga kompania Aukta, si mbështetje sistemike, ndërkohë që ne e kemi menaxhuar pjesën administrative. Është e vërtetë që ne atëkohë ishim një kompani e re, por unë kam shumë përvojë në poste drejtuese në kompanitë e IT-së dhe e kemi përfunduar punën plotësisht dhe në mënyrën më profesionale. Nuk e di se pse në një kohë kur ndodhin kaq shumë sulme të hakerëve dikush do i vidhte çertifikatat e lindjes, e kujt do t’i duheshin ato?”, tha Fetai për Meta.mk.

Ai shpjegoi procedurën e punës, pra mënyrën se si është kryer digjitalizimi i librave amë. Ajo që tha Fetai për Meta.mk përkon me atë që thuhet në kontratën mes DULA-s dhe Novatek Inv, por edhe DULA-s dhe Aukta-s.

Punonjësi i DULA-s i sjell librat që dëshiron të skanohen dhe më pas të digjitalizohen. Skanimi bëhet me dy skanerë, në ambientet e DULA-s, ndërsa këtë e bëjnë persona (në këtë rast 25), të angazhuar me kontratë nga kompania, në dy turne. Pastaj, qindra persona të tjerë të angazhuar po me kontratë, i evidentojnë të dhënat nga dokumentet e skanuara, dhe këtë e bëjnë në një ambient dhe me pajisje teknike të siguruara nga kompania.

Ekstrakt nga kontrata për digjitalizimin e regjistrave civil, 2020

“Kur bëhej evidentimi i të dhënave kjo gjë bëhej në mënyrën më transparente, mund të shihej se kush kishte qasje dhe kush evidentonte të dhënat. Personat që e bënin këtë nënshkruanin një kontratë, gjegjësisht deklaratë për mbrojtjen dhe ruajtjen e të dhënave personale”, thotë Fetai.

DULA nuk ka i kontrolluar të dhënat nga evidencat për qasje në sistemin informativ

Komisioni Shtetëror për Parandalimin e Korrupsionit në seancën e djeshme, duke iu referuar supervizionit të Agjencisë për Mbrojtjen e të Dhënave Personale, tha se “nuk ka pasur shifra për hyrje në evidencën amë, të dhënat personale janë ruajtur në server pa mundësi për identifikimin e personave që kanë pasur qasje në to, operatorët ekonomik i kanë mbledhur të dhënat pa u shoqëruar nga persona zyrtarë të DULA-s, ambienti ku është bërë skanimi i të dhënave personale nuk ka qeni i siguruar nga aspekti fizik, nuk mund të përcaktohet identiteti i personave që janë qasur në modulet softuerikë ku janë evidentuar dokumentet e skanuara dhe të dhënat personale, mediat e transmetimit nuk janë mbrojtur dhe nuk ka pasur dëshmi për parandalimin e qasjes së paautorizuar në të dhënat personale, gjegjësisht nuk dihet se kush ka pasur qasje në të dhënat personale, ku janë nxjerrë ato, ku kanë përfunduar dhe për çfarë qëllimi”.

Përveç asaj që tashmë është bërë e ditur nga Komisioni Shtetëror për Parandalimin e Korrupsionit, në revizion thuhet edhe se punonjësit e DULA-s nuk kanë ndjekur trajnime për mbrojtjen e të dhënave personale dhe “për skanimin e regjistrave janë përdorur dy kompjuterë ku janë instaluar dy skanerë”.

“Për qasje në këta kompjuterë nuk kërkohet të shënohet emri i përdoruesit dhe ndonjë fjalëkalim. Këta kompjuterë dhe skanerë janë të vendosur në një ambient që nuk është i siguruar fizikisht dhe në të mund të hyjnë edhe persona të paautorizuar. Gjatë fazës së skanimit, personat e angazhuar nga përpunuesit nuk janë shoqëruar (kontrolluar) nga punonjësit e DULA-s. Në këtë ambient janë ruajtur edhe librat amë të më shumë njësive rajonale që janë dorëzuar për skanim, me ç’rast tek ato qasje ka mundur të ketë kushdo që hyn në ambientet e DULA-s. Librat amë të lindjeve të skanuara shkarkohen nga këta dy kompjuterë në një medium portativ që nuk është i mbrojtur me një fjalëkalim”, thuhet në përgjigjen e Agjencisë për Mbrojtjen e të Dhënave Personale.

DULA, sipas revizionit, mban evidencë për qasje të autorizuar (regjistër/shifra për hyrje) në aplikacionin softuerik (modulin) që përdoret për bartjen e regjistrave të skanuar, por ajo nuk përmban shifra të plota për hyrje, siç duhet sipas rregullores për mbrojtjen e të dhënave personale.

“DULA nuk bën kontroll të të dhënave nga evidenca për qasje në sistemin informativ. DULA ka instaluar një zgjidhje SIEM, por ajo nuk është e konfiguruar për të mbledhur dhe analizuar shifrat për hyrje që gjenerohen gjatë qasjes në serverin e dokumenteve (fileserver) dhe mediat e tjera ku ka të dhëna personale”, thuhet në revizion.

Nga Agjencia për Mbrojtjen e të Dhënave Personale thonë se DULA-s i është dhënë afat deri në qershor të këtij viti për të eliminuar shkeljet e konstatuara. DULA ka për obligim që për secilën masë ta njoftojë Agjencinë dhe të dorëzojë dëshmi se ka eliminuar shkeljet e konstatuara. Për disa nga masat DULA tashmë ka dorëzuar dëshmi se ka eliminuar shkeljet e konstatuara.

Megjithatë, nëse ka pasur apo jo abuzime dhe tregtim të të dhënave personale do të tregojë epilogu i kallëzimit penal të dorëzuar nga Komisioni Shtetëror i Parandalimit të Korrupsionit në prokurori. Se kur do të ketë epilog ende nuk dihet, sepse dje prokuroria “ngriu” bashkëpunimin me komisionin.

• LEXO: Librat amë në RMV të hakuara – tregti me të dhënat personale të qytetarëve
  
• LEXO: KSHPK zbuloi një rrjet të institucioneve dhe kompanive të përfshira në (mos)konfiskimin e pronës së Transmet-it
• LEXO: Antikorrupsioni kërkon ndjekje penale për Dashtevskin dhe persona të tjerë në KSHZ për “pajisjet fingerprint”
• LEXO: RMV, Prokuroria e ka ngrirë bashkëpunimin me Komisionin për Antikorrupsion
• LEXO: Antikorrupsioni me padi penale kundër Danella Arsovskës: Ka emëruar drejtorë në mënyrë të paligjshme
• LEXO: 15 drejtorë janë shkarkuar ose kanë dhënë dorëheqje për një vit e gjysmë mandat të Arsovskës
• LEXO: Rasti “Trust” me falsifikim dokumentesh disa kompani kanë përfituar mbi 17 milionë euro
• LEXO: Ish anëtarët e KSHZ-së: Metoda e fingerprint-it nuk ishte e testuar mirë prandaj u krijua kaos në zgjedhjet